Coordination, sensibilisation et compétences : tels sont les trois mots clés qui ressortent du document d'information publié mardi 19 mars par la Cour des comptes de l'UE en matière de cybersécurité. Il porte sur la sécurité des réseaux et de l'information, la cybercriminalité, la cyberdéfense et la désinformation.
Ce document se distingue des audits que réalise habituellement la Cour dans la mesure où il se limite à un examen documentaire d'informations accessibles au public (une centaine de sources). Il identifie en particulier dix défis clés regroupés en quatre thématiques : le cadre stratégique et législatif, le financement et les dépenses, le renforcement de la cyberrésilience, l'efficacité de la réponse en cas de cyberincident.
Investissements faibles et fragmentés
L'une des principales conclusions de ce rapport porte sur les investissements en matière de cybersécurité, jugés trop faibles et trop fragmentés par les auditeurs. Impossible, à l'heure actuelle, de savoir exactement combien d'argent a été alloué à la cybersécurité, conclut l'institution. Ce qui est sûr, par contre, c'est que les dépenses de certains États membres représentent un dixième de celles des États-Unis, voire moins. Le budget de l'UE, lui, comprend une dizaine d'instruments qui contribuent de près ou de loin à la cybersécurité, sans que l'on sache exactement quels crédits sont utilisés et à quelles fins.
« L'UE et ses États membres ont pourtant besoin de savoir combien ils investissent collectivement », a déclaré en conférence de presse M. Baudilio Tomé Muguruza, le membre de la Cour des comptes responsable du document d'information. Il a souligné que la Cour ne préconise pas de rassembler les instruments actuels en un seul et unique mécanisme, mais plutôt de disposer d'une vue claire sur lesdites dépenses afin d'identifier les lacunes à combler.
Le maître mot : la coordination
Parmi les autres défis identifiés, citons encore ceux liés au cadre législatif, dont la transposition n'est pas suffisamment évaluée et qui est encore incomplet. « Malgré les efforts déployés pour renforcer la cohérence, le cadre législatif de la cybersécurité reste incomplet. Sa fragmentation et ses lacunes empêchent la réalisation des grands objectifs stratégiques et se traduisent par un manque d'efficience », note le document d'information.
En guise d'exemple, il souligne que les États membres élaborent des politiques relatives au signalement des failles logicielles « à des rythmes divers », en l'absence de cadre juridique global au niveau de l'UE permettant d'appliquer une approche coordonnée. La note d'information recommande aussi d'« évaluer » davantage les progrès en matière de cybersécurité.
Pour ce qui concerne les réponses aux cyberincidents, la Cour note que la détection et la réaction rapides, la protection des infrastructures et fonctions sociétales critiques, ainsi que l'amélioration de l'échange d'informations et de la coordination entre les secteurs public et privé sont des défis à relever en priorité. Notons aussi une invitation à développer les compétences en matière de cybersécurité et la prise de conscience dans tous les secteurs et à tous les niveaux de la société.
Le rapport peut être consulté à la page : https://bit.ly/2TZnmK8. (Sophie Petitjean)